CloudAppEvents
適用於:
- Microsoft Defender XDR
進CloudAppEvents
階搜捕架構中的數據表包含與 Office 365 和其他雲端應用程式和服務中的帳戶和對象有關的事件相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
欄名稱 | 資料類型 | 描述 |
---|---|---|
Timestamp |
datetime |
事件記錄的日期和時間 |
ActionType |
string |
觸發事件的活動類型 |
Application |
string |
執行已錄製動作的應用程式 |
ApplicationId |
int |
應用程式的唯一標識碼 |
AppInstanceId |
int |
應用程式實例的唯一標識碼。 若要將此項目轉換為 Microsoft Defender for Cloud Apps 應用程式連接器標識碼使用CloudAppEvents|distinct ApplicationId,AppInstanceId,binary_or(binary_shift_left(AppInstanceId,20),ApplicationId)|order by ApplicationId,AppInstanceId |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一標識符 |
AccountId |
string |
Microsoft Defender for Cloud Apps 找到的帳戶標識碼。 可以是 Microsoft Entra ID、用戶主體名稱或其他標識碼。 |
AccountDisplayName |
string |
帳戶使用者的通訊錄項目中顯示的名稱。 這通常是使用者的指定名稱、中間初始和姓氏的組合。 |
IsAdminOperation |
bool |
指出活動是否由系統管理員執行 |
DeviceType |
string |
以用途和功能為基礎的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲控制台或印表機 |
OSPlatform |
string |
在裝置上執行之作業系統的平臺。 此數據行指出特定的作業系統,包括相同系列內的變化,例如 Windows 11、Windows 10 和 Windows 7。 |
IPAddress |
string |
在通訊期間指派給裝置的IP位址 |
IsAnonymousProxy |
boolean |
指出IP位址是否屬於已知的匿名 Proxy |
CountryCode |
string |
兩個字母的代碼,指出用戶端IP位址地理位置的國家/地區 |
City |
string |
用戶端IP位址地理位置所在的城市 |
Isp |
string |
與IP位址相關聯的因特網服務提供者 |
UserAgent |
string |
來自網頁瀏覽器或其他用戶端應用程式的使用者代理程序資訊 |
ActivityType |
string |
觸發事件的活動類型 |
ActivityObjects |
dynamic |
記錄活動所涉及的物件清單,例如檔案或資料夾 |
ObjectName |
string |
已記錄動作套用至的物件名稱 |
ObjectType |
string |
套用記錄動作的物件類型,例如檔案或資料夾 |
ObjectId |
string |
已套用所記錄動作之物件的唯一標識碼 |
ReportId |
string |
事件的唯一標識碼 |
AccountType |
string |
用戶帳戶的類型,指出其一般角色和存取層級,例如 Regular、System、管理員、Application |
IsExternalUser |
boolean |
指出網路內的使用者是否不屬於組織的網域 |
IsImpersonated |
boolean |
指出活動是否由某位用戶針對另一個模擬) 使用者 (執行 |
IPTags |
dynamic |
套用至特定IP位址和IP位址範圍的客戶定義資訊 |
IPCategory |
string |
IP 位址的其他相關信息 |
UserAgentTags |
dynamic |
Microsoft Defender for Cloud Apps 在使用者代理程式欄位中標記中提供的詳細資訊。 可以有下列任何值:原生用戶端、過期的瀏覽器、過時的操作系統、機器人 |
RawEventData |
dynamic |
來自來源應用程式或服務的原始事件資訊,格式為 JSON |
AdditionalFields |
dynamic |
實體或事件的其他相關信息 |
LastSeenForUser |
string |
顯示使用者最近使用屬性的天數 (例如 ISP、ActionType 等 ) |
UncommonForUser |
string |
清單 使用者不常見事件的屬性,使用此數據協助排除誤判並找出異常 |
涵蓋的應用程式和服務
CloudAppEvents 資料表包含連線到 Microsoft Defender for Cloud Apps 的所有 SaaS 應用程式的擴充記錄,例如:
- Office 365 和 Microsoft 應用程式,包括:
- Exchange Online
- SharePoint Online
- Microsoft Teams
- Dynamics 365
- 商務用 Skype
- Viva Engage
- 電源自動化
- Power BI
- Dropbox
- Salesforce
- GitHub
- Atlassian
線上支援的雲端應用程式以進行立即、現成的保護、深入瞭解應用程式的使用者和裝置活動等等。 如需詳細資訊,請參閱 使用雲端服務提供者 API 保護連線的應用程式。
相關主題
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應